试过了，也不行啊！
在安全模式下就有这个c:\winnt\services.exe进程，结束进程和删除文件后，一会就又出现。郁闷啊。肯定还有其它的木马潜伏吧？！

用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038

谢谢各位的帮忙。在各位老大的帮忙下，我最终还是找到了解决的方法，现在贴出来和大家分享：

迄今为止我所中的最垃圾，bt的病毒及清楚办法 exeroute，NtDhcp 的病毒---建议直接重装机器 这个后门共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。附图即为中毒后，任意一个EXE文件的属性，留意黄圈部分，“应用程序”变成“EXE文件” 这个病毒释放了很多病毒文件，还修改了很多注册表信息，经过一番处理，现在推荐以下步骤操作： 1. 准备工作，下载SREng.exe，并改名为SREng.com 下载地址： http://www.kztechs.com/sreng/download.html 2. 运行ProceXP结束%Windows%\services.exe病毒进程（最好也将ProceXP.exe改名为ProceXP.com再运行，如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe，运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe，等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可） 注：要注意的是，结束的病毒进程是%Windows%\services.exe，不是System32\services.exe（系统进程），大家可以从路径和它们的图标来区分。 3. 运行SREng.com，在“系统修复”>>“文件关联”里勾选“.EXE”项，并“修复”，恢复EXE文件关联 4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件，删除它们： C:\autorun.inf %ProgramFiles%\Common Files\iexplore.pif %ProgramFiles%\Internet Explorer\iexplore.com %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\MSWINSCK.OCX（VB库文件，可以不删除） %Windows%\services.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com 开始菜单\程序\下的： 计算机安全中心.lnk 安全测试.lnk 系统信息管理器.lnk 注：直接从“我的电脑”或“资源管理器”里找，或者通过“搜索”查找，在那些病毒文件没有被删除之前，不要做其它任何多余的操作。 5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe” 6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe” 7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe” 8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe” 9. 删除病毒添加的文件关联信息和启动项： [HKEY_CLASSES_ROOT\winfiles] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Torjan Program"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe" 10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除： HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒。